フェデレーション サーバーをいつ作るべきか
大規模な Active Directory フェデレーション サービス (AD FS) 2.0 の展開において、組織のフェデレーション サービスにフォールト トレランス、負荷分散、またはスケーラビリティを提供する場合は、AD FS 2.0 でActive Directory 2. 0 フェデレーション サービス ファームを作成することを検討してください。Active Directory 2. 0 フェデレーション サービス ファームを作成するには、同じネットワーク内に 2 つ以上の Active Directory 2. 0 フェデレーション サービスを作成し、各サーバーが同じフェデレーション サービスを使用するように構成し、各サーバーのトークン署名証明書の公開キーを AD FS 2.0 管理スナップインに追加します。
AD FS 2.0 フェデレーション サーバー構成ウィザードを使用して、フェデレーション サーバー ファームを作成したり、既存のファームに追加のフェデレーション サーバーをインストールすることができます。詳細については、「フェデレーション サーバーを作成する場合」を参照してください。
AD FS 2.0 フェデレーション サーバー構成ウィザードを使用して [New federation server farm] を作成するオプションを選択すると、ウィザードは Active Directory 内に (証明書を共有するための) コンテナ オブジェクトを作成します。そのため、まずはこのコンテナ オブジェクトの作成に必要な Active Directory 内での権限を持つアカウントを使用して、フェデレーション サーバーの役割を設定しているコンピューターにログオンすることが重要です。
Active Directory 2. 0 フェデレーション サービスをファームとしてグループ化する前に、まず単一の完全修飾ドメイン名 (FQDN) に届いた要求がサーバー ファーム内の各Active Directory 2. 0 フェデレーション サービスにルーティングされるように、各フェデレーション サーバーをクラスター化する必要があります。サーバー クラスターを作成するには、企業ネットワーク内でネットワーク負荷分散 (NLB) を展開します。このガイドは、ファーム内の各Active Directory 2. 0 フェデレーション サービスをクラスター化できるように NLB が適切に構成されていることを前提としています。
Microsoft NLB テクノロジを使用してクラスターの FQDN を構成する方法の詳細については、「クラスター パラメーターを指定する」(https://go.microsoft.com/fwlink/?LinkID=74651) (英語) を参照してください。
フェデレーション サーバー ファームを展開するためのベスト プラクティス
運用環境でActive Directory 2. 0 フェデレーション サービスを展開する場合には、次のベスト プラクティスをお勧めします。
複数のActive Directory 2. 0 フェデレーション サービスを同時に展開する場合、または今後、サーバーをファームに追加する予定がある場合には、ファーム内の既存のActive Directory 2. 0 フェデレーション サービスのサーバー イメージを作成することを検討してください。追加のActive Directory 2. 0 フェデレーション サービスをすぐに作成する必要がある場合は、そのイメージからインストールを実行します。
追加のActive Directory 2. 0 フェデレーション サービスを展開する際に、サーバー イメージを使用する場合は、ファームに新しいサーバーを追加するたびに「チェックリスト: フェデレーション サーバーのセットアップ」(英語) のタスクを実行する必要はありません。
NLB またはその他の形式のクラスタリングを使用して、複数のActive Directory 2. 0 フェデレーション サービス コンピューターに単一の IP アドレスを割り当てます。
ファーム内のActive Directory 2. 0 フェデレーション サービスごとに 1 つの静的 IP アドレスを予約し、ドメイン ネーム システム (DNS) の設定に基づいて、動的ホスト構成プロトコル (DHCP) から各 IP アドレスを除外します。Microsoft NLB テクノロジでは、NLB クラスターに参加するサーバーごとに 1 つの静的 IP アドレスが割り当てられている必要があります。
AD FS 構成データベースを SQL データベースに格納する場合は、複数のActive Directory 2. 0 フェデレーション サービスから同時に SQL データベースを編集しないでください。
ファームのフェデレーション サーバーを構成する
次の表では、ファーム環境に各Active Directory 2. 0 フェデレーション サービスを参加させるために実行する必要のあるタスクについて説明します。
| タスク | 説明 |
| SQL Server を使用して AD FS 構成データベースを格納する | Active Directory 2. 0 フェデレーション サービス ファームは、同じ AD FS 構成データベースとトークン署名証明書を共有する 2 つ以上のActive Directory 2. 0 フェデレーション サービスで構成されます。構成データベースは、Windows Internal Database または SQL Server データベースのいずれかに格納できます。構成データベースを SQL データベースに格納する場合は、ファームに参加するすべての新しいActive Directory 2. 0 フェデレーション サービスがその構成データベースにアクセスできるようにしてください。 ファームを使用する場合は、ファーム内のActive Directory 2. 0 フェデレーション サービスとして参加していないコンピューターに構成データベースを配置することが重要です。Microsoft NLB では、ファームに参加しているコンピューターどうしが通信することはできません。 ファームに参加するすべてのActive Directory 2. 0 フェデレーション サービスで、インターネット インフォメーション サービス (IIS) の AD FS 2.0 AppPool の ID に、構成データベースへの読み取りアクセス権があることを確認してください。 |
| 証明書を取得および共有する | 単一のサーバー認証証明書は、VeriSign などの公的な証明機関 (CA) から取得できます。その後、すべてのActive Directory 2. 0 フェデレーション サービスがこの証明書と同じ秘密キー部分を共有するように、証明書を構成することができます。同じ証明書を共有する方法の詳細については、「チェックリスト: フェデレーション サーバーのセットアップ」(英語) を参照してください。 AD FS 2.0 管理スナップインは、Active Directory 2. 0 フェデレーション サービスのサーバー認証証明書をサービス通信証明書として参照します。 詳細については、「フェデレーション サーバーの証明書の要件」を参照してください。 |
| 同じ SQL Server インスタンスを参照する | AD FS 構成データベースを SQL データベースに格納する場合、新しいActive Directory 2. 0 フェデレーション サービスがファームに参加するためには、新しいサーバーはファーム内の他の Active Directory 2. 0 フェデレーション サービスが使用しているものと同じ SQL Server インスタンスを参照する必要があります。 |